Kräv strikt KDC-validering

Den här principinställningen styr Kerberos-klientens beteende vid verifiering av KDC-certifikatet för inloggning med smartkort och systemcertifikat.

Om du aktiverar den här principinställningen kräver Kerberos-klienten att KDC:ns X.509-certifikat innehåller huvudobjektidentifieraren för KDC i tilläggen Utökad nyckelanvändning, samt att KDC:ns X.509-certifikat innehåller ett dNSName subjectAltName-tillägg (SAN) som matchar domänens DNS-namn. Om datorn är ansluten till en domän kräver Kerberos-klienten att X.509-certifikatet för KDC signeras av en certifikatutfärdare i NTAuth-arkivet. Om datorn inte tillhör en domän tillåter Kerberos-klienten att rotcertifikatutfärdaren på smartkortet används i sökvägsvalideringen på KDC:ns X.509-certifikat.

Om du inaktiverar eller låter bli att konfigurera den här principinställningen kräver Kerberos-klienten bara att KDC-certifikatet innehåller objektidentifieraren för serverautentisering i EKU-tilläggen som kan utfärdas till valfri server.

Stöds på: Minst Windows Vista

Registry HiveHKEY_LOCAL_MACHINE
Registry PathSoftware\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters
Value NameKdcValidation
Value TypeREG_DWORD
Enabled Value2
Disabled Value0

kerberos.admx

Administrativa mallar (datorer)

Administrativa mallar (användare)